Il futuro della Governance, del rischio e della Conformità nel Cloud
L’adozione del cloud ha reso l’intero ambito della Governance, del Risk Management e della Conformità (GRC) molto più complesso. A questo si aggiunge un numero crescente di normative nella maggior parte delle aree geografiche, sanzioni più elevate e modifiche sempre più frequenti ai requisiti di conformità. È evidente, quindi, che per affrontare efficacemente questo scenario serve un nuovo approccio da parte delle organizzazioni: è necessario adottare una governance della sicurezza per il cloud.
Questo articolo analizza la GRC nel contesto cloud, approfondendo le sfide, i trend emergenti e le opportunità che offre per la gestione della sicurezza, del rischio aziendale e della conformità.
Le sfide della GRC nel Cloud
Adattarsi agli ambienti cloud
I framework normativi faticano ad adeguarsi agli ambienti cloud, soprattutto a causa dell’evoluzione tecnologica estremamente rapida.
Un esempio semplice è rappresentato dai requisiti legati alla sicurezza fisica dei data center: un concetto che aveva perfettamente senso nell’era on-premises. Oggi, però, molte aziende non sanno nemmeno dove siano fisicamente conservatii propri dati, e di certo non conoscono l’edificio in cui si trovano. La sicurezza fisica, in questi casi, è completamente del Cloud Service Provider (CSP).
Comprendere il modello di responsabilità condivisa
Questo ci porta a un’altra sfida importante: capire davvero il modello di responsabilità condivisa, che è comune a tutti i provider cloud.
In pratica, significa che alcune misure di sicurezza spettano al provider cloud (CSP), altre all’organizzazione stessa, come la protezione degli endpoint, e alcune sono un impegno condiviso.
Prendiamo come esempio la sicurezza delle identità: il provider deve garantire un sistema di directory sicuro e soluzioni per l’autenticazione e l’autorizzazione. Tuttavia, se l’organizzazione dà diritti amministrativi a tutti gli utenti del suo ambiente cloud, la responsabilità di eventuali violazioni ricadrà su di lei, non sul provider.
Numero di impostazioni e permessi
Ci sono alcune verità nella cybersecurity che restano valide indipendentemente dall’era tecnologica in cui ci troviamo. “La complessità è il nemico della sicurezza” era vero per i mainframe degli anni ’70, per i sistemi client-server degli anni ’90 e lo è ancora oggi negli ambienti cloud degli anni 2010.
Si stima che tra Azure, AWS e GCP esistano circa 40.000 permessi differenti che possono essere assegnati. Se a questi aggiungiamo le migliaia di impostazioni configurabili in un tenant Microsoft 365, è facile intuire quanto sia vasta e complessa la sfida.
Queste configurazioni e permessi nel cloud possono inoltre interagire tra loro in modi “inaspettati”, rendendo estremamente difficile prevedere come un cambiamento in un’area possa causare conseguenze non volute in un’altra risorsa.
Il ritmo del cambiamento
Un’altra sfida importante è rappresentata dal ritmo con cui tutto cambia: nel mondo on-premises, una nuova versione del server del sistema operativo usciva ogni pochi anni, permettendo ai team IT e di sicurezza di adottare le nuove tecnologie in modo graduale, creando e perfezionando le best practice per garantire sistemi stabili e sicuri.
Il rischio di errori di configurazione
Oggi, con il cloud in continua evoluzione, non esiste mai un momento in cui tutte le impostazioni siano davvero ottimizzate. È una rincorsa continua tra sfruttare le nuove funzionalità e mantenere un buon livello generale di sicurezza.
Questo contesto espone le aziende a un rischio crescente di configurazioni errate, che possono causare violazioni dei dati o problemi di conformità.
Tenere traccia di tutte le risorse
Esiste una regola d’oro quando si parla di sicurezza: non puoi davvero proteggere qualcosa che non conosci. Per questo motivo è fondamentale avere sempre sotto controllo tutte le risorse aziendali, dai vari account utente, alle caselle email, passando per macchine virtuali, container, database, ecc…, e sapere dove si trovano esattamente e chi puo’ accedervi.
Nel passato, con i sistemi on-premises, era tutto un po’ più semplice, perché queste risorse tendevano a restare stabili e fisse nel tempo. Ma con il cloud la musica cambia: qui tutto è molto più dinamico, le risorse si creano e si eliminano in fretta, spesso in modo automatico, e bisogna stare davvero attenti a non perdere il controllo.
Una superficie di attacco sempre più estesa
Infine, va considerato che oggi la maggior parte delle aziende collega l’infrastruttura on-premises ai servizi cloud, aumentando così la propria superficie di attacco. Questo consente agli attaccanti di muoversi lateralmente, passando da un ambiente all’altro con relativa facilità.
Best practice per la Cloud Security Governance
Utilizzare un servizio cloud per GRC
Le aziende che devono rispettare normative (praticamente tutte) devono adottare un approccio integrato alla governance. Il punto di partenza è l’adozione di servizi cloud per la GRC (Governance, Risk and Compliance), in grado di offrire una gestione centralizzata di risorse, permessi e accessi.
Definire una strategia di governance cloud
Serve inoltre una strategia di governance cloud ben strutturata, che permetta di comprendere tutti i framework normativi da rispettare, GDPR, HIPAA, NIS2, ISO 27001 e altri, nei diversi Paesi in cui l’azienda opera.
In molti casi, sarà anche necessario affrontare temi come la sovranità dei dati e la conformità transfrontaliera, per regolare o limitare il trasferimento di dati da una nazione all’altra.
Un dato interessante è che il 26% delle aziende esegue audit quotidiani sulla propria infrastruttura cloud, un’attività possibile solo grazie all’automazione. I tempi in cui si aggiornava un foglio Excel ogni sei mesi sono decisamente finiti.
Utilizzare una dashboard
Infine, è fondamentale esaminare quali controlli sono già coperti dal cloud provider: in molti casi, sei già a metà dell’opera, poiché l’infrastruttura e la rete sono sotto la loro responsabilità e devono rispettare numerosi requisiti di sicurezza.
Ecco un esempio di dashboard tratta da Purview Compliance Manager, una funzionalità integrata in Microsoft 365.
Tieni sotto controllo tutti i permessi con il Permission Manager di Hornetsecurity
Uno degli elementi fondamentali per garantire la sicurezza del proprio ambiente Microsoft 365, oltre che per una gestione efficace della governance, del rischio e della conformità, è la condivisione dei dati e la gestione dei permessi.
In questo contesto, il 365 Permission Manager di Hornetsecurity è una soluzione leader nel settore che offre una visibilità completa su tutti i permessi configurati in SharePoint Online e OneDrive for Business. Non solo permette di individuare eventuali lacune nei permessi, ma consente anche di correggerle facilmente.
La piattaforma offre anche strumenti avanzati per il reporting sulla conformità, così diventa davvero semplice dimostrare che si rispettano tutti i requisiti normativi durante un audit. Essendo una soluzione basata sul cloud, 365 Permission Manager si adatta bene a ogni tipo di realtà, dalle piccole aziende fino alle grandi organizzazioni complesse.
Oltre a identificare i potenziali rischi e aiutarti a risolverli, mette a disposizione modelli pensati sulle migliori pratiche di governance della sicurezza nel cloud, per gestire la condivisione dei documenti in modo sicuro, oggi e anche in futuro.
Tra le sue funzioni più pratiche c’è una lista di attività che ti guida nell’applicazione del principio del minimo privilegio su tutto l’ambiente.
Per capire quali sono le misure più efficaci che un’azienda può adottare per ridurre i costi legati al cyber crime, basta osservare questo grafico del Ponemon Institute di qualche anno fa.
You’ll see that Compliance failures is a large cost amplifier (and complex security systems is the largest amplifier – see above), whereas employee training is one of the biggest cost mitigators.
Si nota chiaramente che le mancate conformità rappresentano un importante amplificatore di costi (insieme alla complessità dei sistemi di sicurezza), mentre la formazione dei dipendenti si conferma uno dei fattori principali di riduzione dei costi.
IA per la GRC, GRC per l’IA: una necessità imprescindibile
L’adozione massiva di strumenti di IA generativa in ambito aziendale, in tutti i settori, comporta rischi e opportunità. In ambienti dove la governance è carente o assente, è probabile che i dipendenti usino strumenti AI consumer, condividendo inconsapevolmente dati sensibili o personali, senza considerarne le implicazioni.
Gli strumenti GenAI consumer utilizzano infatti tutti i prompt inseriti dagli utenti per addestrare ulteriormente i modelli, con il rischio concreto di perdita di dati. Per questo motivo è essenziale che le organizzazioni adottino una governance rigorosa sull’uso degli strumenti IA basati su LLM.
Allo stesso tempo, è fondamentale che anche gli strumenti di GRC, come 365 Permission Manager, si avvalgano di tecnologie IA e Machine Learning per gestire in modo efficace l’enorme mole di dati e segnali, così da monitorare e regolare permessi e accessi in maniera intelligente.
Gestisci al meglio la GRC in cloud con 365 Permission Manager
Managing governance, risk, and compliance in the cloud is more challenging than ever. 365 Permission Manager gives you the visibility and control you need to manage permissions, reduce risk, and ensure compliance.
Gestire la governance, i rischi e la conformità nel cloud oggi è più complesso che mai. 365 Permission Manager offre la visibilità e il controllo necessari per gestire i permessi, ridurre i rischi e garantire la conformità normativa.
Vantaggi principali:
- Automatizzazione della gestione dei permessi e dei report di conformità
- Accesso a insight in tempo reale su problemi di sicurezza e accesso
- Conformità garantita con GDPR, HIPAA e altri standard regolatori
Prenota subito una demo per rafforzare la tua strategia GRC nel cloud!
Perché la GRC basata sul cloud è il futuro
The pressure of compliance regulations on businesses worldwide isn’t going to abate, and forward-looking businesses take this as an opportunity to adopt a modern, cloud-based GRC strategy. Using 365 Permission Manager helps you maintain strong governance, minimize risks and stay compliant.
La pressione normativa che grava sulle aziende a livello globale è in costante aumento, e le organizzazioni più lungimiranti colgono questa sfida come un’opportunità per adottare strategie GRC moderne e basate sul cloud. Scegliendo 365 Permission Manager, è possibile mantenere una governance solida, ridurre il rischio e restare conformi alle normative.
L’adozione di strumenti GRC basati sul cloud rappresenta l’approccio più efficace per gestire uno scenario sempre più complesso.
FAQ
Perché la GRC nel cloud sta diventando più complessa?
Perché comporta l’adesione a molteplici normative, segue modelli di responsabilità condivisa, e si inserisce in ambienti cloud dinamici, dove il rischio di configurazioni errate è elevato.
Che cos’è il modello di responsabilità condivisa?
Si tratta di un modello in cui alcune misure di sicurezza sono a carico del fornitore di servizi cloud, mentre altre, come la sicurezza degli endpoint, sono responsabilità dell’organizzazione.
Come possono le aziende migliorare la loro GRC nel cloud?
Utilizzando strumenti centralizzati e cloud-based, come 365 Permission Manager, per governare le risorse, gestire i permessi e assicurare la conformità normativa.
